Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2019.371.6

Wewnętrzne zasady dotyczące ograniczenia określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji Praw Podstawowych Unii Europejskiej.

AGENCJA PRAW PODSTAWOWYCH UNII EUROPEJSKIEJ Decyzja Rady Wykonawczej w sprawie wewnętrznych zasad dotyczących ograniczenia określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji Praw Podstawowych Unii Europejskiej

(2019/C 371/06)

(Dz.U.UE C z dnia 4 listopada 2019 r.)

RADA WYKONAWCZA AGENCJI PRAW PODSTAWOWYCH UNII EUROPEJSKIEJ,

uwzględniając:

Traktat o funkcjonowaniu Unii Europejskiej,

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1  (zwane dalej "rozporządzeniem (UE) 2018/1725"), w szczególności jego art. 25,

Rozporządzenie Rady (WE) nr 168/2007 ustanawiające Agencję Praw Podstawowych Unii Europejskiej (FRA), w szczególności jego art. 13,

Opinię Europejskiego Inspektora Ochrony Danych z dnia 19 maja 2019 r. oraz wytyczne EIOD w sprawie art. 25 nowego rozporządzenia i przepisów wewnętrznych,

a także mając na uwadze, co następuje:

(1) Agencja Praw Podstawowych Unii Europejskiej (zwana dalej "FRA") prowadzi działalność zgodnie z rozporządzeniem (WE) nr 168/2007.

(2) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 podstawą ograniczeń w stosowaniu art. 14-22, 35 i 36, a także art. 4 tego rozporządzenia, o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22, powinny być przepisy wewnętrze przyjęte przez FRA, jeżeli ich podstawą nie są akty prawne przyjęte na podstawie Traktatów.

(3) Takie zasady wewnętrzne, w tym przepisy dotyczące oceny konieczności i proporcjonalności ograniczenia, nie powinny mieć zastosowania, jeżeli ograniczenie praw osób, których dane dotyczą, określa akt prawny przyjęty na podstawie Traktatów.

(4) FRA, wykonując swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.

(5) W ramach własnego funkcjonowania administracyjnego FRA może prowadzić postępowania administracyjne i dyscyplinarne, czynności związane z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedury związane ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalne i nieformalne) postępowania prowadzone w przypadkach nękania, rozpatrywać wewnętrzne i zewnętrzne skargi, prowadzić audyty wewnętrzne/zewnętrzne, prowadzić dochodzenia przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również prowadzić dochodzenia dotyczące wewnętrznego (informatycznego) bezpieczeństwa.

(6) FRA przetwarza kilka kategorii danych osobowych, w tym "twarde dane" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) lub "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).

(7) FRA reprezentowana przez dyrektora, pełni rolę administratora danych niezależnie od dalszego delegowania roli administratora w ramach FRA dokonanego w celu odzwierciedlenia obowiązków operacyjnych dla konkretnych operacji przetwarzania danych osobowych.

(8) Dane osobowe są przechowywane w sposób bezpieczny w środowisku elektronicznym lub w wersji papierowej w sposób uniemożliwiający bezprawny dostęp lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są przechowywane przez okres nie dłuższy niż to konieczne i właściwe dla celów, dla których są przetwarzane, wskazany w informacji o zasadach przetwarzania danych, oświadczeniach o ochronie prywatności lub rejestrach FRA.

(9) Wewnętrzne zasady powinny mieć zastosowanie do wszystkich operacji przetwarzania danych prowadzonych przez FRA w toku prowadzenia postępowań administracyjnych i dyscyplinarnych, czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) postępowań prowadzonych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, prowadzenia audytów wewnętrznych/zewnętrznych, badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, jak również dochodzeń dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

(10) Przepisy te powinny mieć zastosowanie do operacji przetwarzania danych prowadzonych przed uruchomieniem procedur, o których mowa powyżej, w trakcie tych procedur oraz podczas monitorowania działań następczych podejmowanych w rezultacie wspomnianych procedur. Powinny one również obejmować swoim zakresem pomoc i współpracę ze strony FRA udzielaną organom krajowym i organizacjom międzynarodowym poza postępowaniami administracyjnymi.

(11) W przypadkach, w których zastosowanie mają przepisy wewnętrzne, FRA musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności.

(12) W ramach powyższego FRA ma obowiązek przestrzegać w możliwie szerokim zakresie praw podstawowych osób, których dane dotyczą, w szczególności związanych z prawem do udzielania informacji, prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do ograniczeniem przetwarzania, prawem do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych lub prawem do poufności łączności, które to prawa przewidziano w rozporządzeniu (UE) nr 2018/1725.

(13) FRA może być jednak zobowiązana do ograniczenia informacji udzielanych osobie, której dane dotyczą, i innych praw takiej osoby w celu zapewnienia ochrony - w szczególności - własnych dochodzeń, dochodzeń i postępowań innych organów publicznych, jak również praw innych osób w związku z dochodzeniami lub innymi procedurami.

(14) FRA może zatem ograniczyć informacje w celu ochrony dochodzenia oraz podstawowych praw i wolności innych osób, których dane dotyczą.

(15) FRA powinna okresowo monitorować warunki uzasadniające ograniczenie oraz znosić ograniczenie, gdy tylko okoliczności, które je uzasadniają, przestają mieć zastosowanie.

(16) Administrator danych informuje inspektora ochrony danych w chwili odroczenia i podczas przeglądu,

POSTANAWIA, CO NASTĘPUJE:

Artykuł  1

Przedmiot i zakres

1. 
Niniejsza decyzja określa zasady dotyczące warunków, na jakich FRA w ramach prowadzonych przez nią procedur określonych w ust. 2 może ograniczyć stosowanie praw przewidzianych w art. 14-21, 35 i 36, jak również art. 4 na podstawie art. 25 rozporządzenia (UE) nr 2018/1725.
2. 
W ramach administracyjnego funkcjonowania FRA niniejsza decyzja ma zastosowanie do operacji przetwarzania danych osobowych przez Agencję dla celów: prowadzenia postępowań administracyjnych, przeddyscyplinarnych, dyscyplinarnych, zawieszenia na mocy załącznika IX do regulaminu pracowniczego, czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych, procedur związanych ze zgłaszaniem przypadków naruszeń przez sygnalistów, (formalnych i nieformalnych) postępowań prowadzonych w przypadkach nękania, rozpatrywania wewnętrznych i zewnętrznych skarg, audytów wewnętrznych/zewnętrznych, badania spraw prowadzonego przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia (UE) 2018/1725, dochodzeń dotyczących bezpieczeństwa (informatycznego), prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
3. 
Przedmiotowe dane obejmują kategorię "twardych danych" (dane "obiektywne", takie jak dane umożliwiające identyfikację, dane kontaktowe, dane zawodowe, dane administracyjne, dane pozyskane z określonych źródeł, dane pochodzące z łączności elektronicznej oraz dane dotyczące ruchu) oraz kategorię "miękkie dane" (dane "subiektywne" związane ze sprawą, takie jak tok rozumowania, dane behawioralne, oceny, dane o zachowaniu i postępowaniu, jak również dane związane z przedmiotem procedury lub czynności).
4. 
FRA, wypełniając swoje obowiązki dotyczące praw osób, których dane dotyczą, przewidziane rozporządzeniem (UE) 2018/1725, rozważa, czy zastosowanie ma którykolwiek z wyjątków przewidzianych w rozporządzeniu.
5. 
Z zastrzeżeniem warunków określonych w niniejszej decyzji, ograniczenia mogą mieć zastosowanie do następujących praw: przekazywania informacji osobom, których dane dotyczą, prawa dostępu do informacji, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony prywatności lub prawa do poufności łączności.
Artykuł  2

Określenie administratora i zabezpieczeń

1. 
W celu uniknięcia naruszeń ochrony danych, wycieków danych lub nieuprawnionego ujawnienia informacji wprowadzono następujące zabezpieczenia:
a)
dokumenty papierowe są przechowywane w zabezpieczonych szafkach i dostęp do nich ma tylko upoważniony personel;
b)
wszystkie dane elektroniczne są przechowywane w bezpiecznej aplikacji informatycznej zgodnej z normami bezpieczeństwa FRA, jak również w konkretnych folderach elektronicznych, do których dostęp ma tylko upoważniony personel; odpowiedni poziom dostępu jest przyznawany indywidualnie;
c)
baza danych jest chroniona hasłem w ramach systemu pojedynczego logowania i łączy się automatycznie z identyfikatorem i hasłem użytkownika. Zastępowanie użytkowników jest surowo zabronione. Rejestry elektroniczne przechowywane są w sposób bezpieczny w celu zapewnienia ich poufności i ochrony prywatności oraz zawartych w nich danych;
d)
wszystkie osoby z dostępem do danych mają obowiązek zachować ich poufność.
2. 
Administratorem procesów przetwarzania danych jest FRA, reprezentowana przez dyrektora, który może delegować obowiązki administratora. Osoby, których dane dotyczą, są informowane o tożsamości osoby, której powierzono funkcję administratora, poprzez informacje o ochronie danych lub rejestry publikowane na stronie internetowej lub w intranecie FRA.
3. 
Okres przechowywania danych osobowych, o którym mowa w art. 1 ust. 3, nie może być dłuższy niż to konieczne i właściwe dla celów przetwarzania danych. W żadnym razie nie może przekraczać okresu przechowywania określonego w informacjach o ochronie danych, oświadczeniach o ochronie prywatności lub rejestrze, o którym mowa w art. 5 ust. 1.
4. 
W sytuacji gdy Agencja rozważa zastosowanie ograniczenia, waży ona zagrożenia dla praw i wolności osób, których dane dotyczą, w szczególności, względem zagrożenia dla praw i wolności pozostałych osób, których dane dotyczą oraz zagrożenia unieważnienia skutku śledztw lub procedur FRA przykładowo poprzez niszczenie materiału dowodowego. Zagrożenia dla praw i wolności osób, których dane dotyczą, wiążą się przede wszystkim, choć nie wyłącznie, z zagrożeniem dla reputacji oraz zagrożeniem dla prawa do obrony, a także prawa do bycia wysłuchanym.
Artykuł  3

Ograniczenia

1. 
Agencja stosuje wszelkie ograniczenia wyłącznie w celu zapewnienia:
a)
bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obrony państw członkowskich;
b)
zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw oraz ścigania przestępstw lub wykonywania kar, w tym zabezpieczenia przed zagrożeniami dla bezpieczeństwa publicznego oraz zapobiegania takim zagrożeniom;
c)
realizacji innych ważnych celów leżących w interesie publicznym Unii lub państwa członkowskiego, w szczególności celów wspólnej polityki zagranicznej i bezpieczeństwa Unii lub ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych, zdrowia publicznego i zabezpieczenia społecznego;
d)
wewnętrznego bezpieczeństwa instytucji i organów Unii, w tym ich sieci łączności elektronicznej;
e)
ochrony niezależności sądu i postępowania sądowego;
f)
zapobiegania naruszeniom etyki zawodów regulowanych, prowadzenia dochodzeń w sprawie takich naruszeń, wykrywania ich oraz ścigania;
g)
monitorowania, funkcji kontrolującej lub regulacyjnej związanej choćby sporadycznie z wykonywaniem władzy publicznej w przypadkach, o których mowa w lit. a) do c);
h)
ochrony osoby, której dane dotyczą, oraz praw i wolności innych osób;
i)
egzekwowania roszczeń cywilnoprawnych.
2. 
W ramach konkretnej realizacji celów określonych w ust. 1 powyżej FRA może zastosować ograniczenia odnośnie do danych osobowych przekazywanych służbom Komisji lub innym instytucjom, organom, agencjom i urzędom Unii Europejskiej, właściwym organom państw członkowskich lub państw trzecich, lub organizacjom międzynarodowym w następujących okolicznościach:
a)
jeżeli wykonywanie tych praw i obowiązków mogłoby być objęte ograniczeniem przez służby Komisji lub inne instytucje, organy, agencje lub urzędy Unii na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia, lub zgodnie z aktami założycielskimi innych instytucji, organów, agencji i urzędów Unii;
b)
jeżeli wykonywanie tych praw i obowiązków mogłoby zostać ograniczone przez właściwe organy państw członkowskich na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 lub środków krajowych transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu i Rady (UE) 2016/680;
c)
jeżeli wykonywanie tych praw i obowiązków mogłaby zaszkodzić współpracy FRA z państwami trzecimi lub organizacjami międzynarodowymi przy wykonywaniu jej zadań.

Przed zastosowaniem ograniczeń w okolicznościach, o których mowa w lit. a) i b) akapitu pierwszego, FRA konsultuje się z odpowiednimi służbami Komisji, instytucjami, organami, agencjami, urzędami Unii Europejskiej lub właściwymi organami państw członkowskich, chyba że dla FRA oczywiste jest, że stosowanie ograniczenia przewidziano w jednym z aktów, o których mowa w lit. a) i b).

3. 
Wszelkie ograniczenia muszą być konieczne i proporcjonalne, uwzględniając zagrożenia dla praw i wolności osób, których dane dotyczą, oraz muszą być stosowane z poszanowaniem istoty podstawowych praw i wolności w demokratycznym społeczeństwie.
4. 
Jeżeli rozważane jest zastosowanie ograniczenia, przeprowadza się analizę konieczności i proporcjonalności opartą na zasadach przedstawionych poniżej. Proces ten zostaje udokumentowany wewnętrzną notą oceny dla celów rozliczalności, osobno dla każdego przypadku.
5. 
Ograniczenia są znoszone, gdy tylko przestają występować okoliczności uzasadniające ich stosowanie. W szczególności jeżeli uznaje się, że wykonywanie ograniczonego prawa nie unieważniałaby już skutku ograniczenia lub nie wpływałaby już negatywnie na prawa lub swobody innych osób, których dotyczą dane.
Artykuł  4

Przegląd dokonywany przez inspektora ochrony danych

1. 
FRA bez zbędnej zwłoki informuje inspektora ochrony danych FRA o każdym przypadku, gdy administrator danych ogranicza stosowanie praw osób, których dane dotyczą, lub rozszerza ograniczenie zgodnie z niniejszą decyzją. Administrator zapewnia inspektorowi ochrony danych dostęp do wpisu zawierającego ocenę konieczności i proporcjonalności ograniczenia oraz odnotowuje datę powiadomienia inspektora ochrony danych.
2. 
Inspektor ochrony danych może na piśmie wymagać od administratora przedstawienia przeglądu stosowania ograniczeń. Administrator informuje inspektora ochrony danych na piśmie o rezultatach żądanego przeglądu.
3. 
Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia, gdy do niego dojdzie.
Artykuł  5

Udzielanie informacji osobom, których dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji prawo do informacji może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) postępowań prowadzonych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych i zewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

FRA zamieszcza informacje o potencjalnym ograniczeniu praw w informacjach o ochronie danych osobowych, oświadczeniach o ochronie prywatności lub rejestrze w rozumieniu art. 31 rozporządzenia (UE) 2018/1725, publikowanych na stronie internetowej i/lub w intranecie, gdzie zawarta jest informacja dla osób, których dane dotyczą, na temat praw przysługujących ich w ramach danej procedury. Informacja zawiera wskazanie danych, które mogą podlegać ograniczeniu, przyczyny ograniczenia oraz potencjalny okres obowiązywania ograniczenia.

2. 
Bez uszczerbku dla postanowień ust. 3 FRA, w stosownych przypadkach, informuje również indywidualnie wszystkie osoby, których dane dotyczą, które uznaje się za zainteresowane w kontekście danego procesu przetwarzania, o obecnych lub przyszłych ograniczeniach ich praw bez zbędnej zwłoki i w formie pisemnej.
3. 
Jeżeli FRA ogranicza, całkowicie lub częściowo, stosowanie prawa udzielania informacji osobom, których dane dotyczą, o czym mowa w ust. 2, dokonuje wpisu do rejestru opisując przyczyny zastosowanego ograniczenia, podstawę prawną zgodnie z art. 3 niniejszej decyzji, w tym wynik oceny konieczności i proporcjonalności ograniczenia.

Wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne uwzględnia się w rejestrze. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.

4. 
Ograniczenie, o którym mowa w ust. 3, ma zastosowanie tak długo, jak długo występują przyczyny uzasadniające to ograniczenie.

Gdy przyczyny stosowania ograniczenia przestają obowiązywać, FRA informuje osobę, której dane dotyczą, o głównych powodach stosowania ograniczenia. Jednocześnie FRA informuje osobę, której dane dotyczą, o możliwości wniesienia w dowolnym momencie skargi do Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej.

FRA dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego postępowania, procedury lub dochodzenia. Następnie administrator co roku monitoruje konieczność utrzymania ograniczenia.

Artykuł  6

Prawo dostępu do danych przez osobę, której dane dotyczą

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i proporcjonalne, prawo dostępu może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) postępowań prowadzonych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych i zewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).

Jeżeli osoby, których dane dotyczą, występują z wnioskiem o dostęp do swoich danych osobowych przetwarzanych w ramach jednego lub kilku określonych przypadków lub konkretnego procesu przetwarzania danych, zgodnie z art. 17 rozporządzenia (UE) 2018/1725, FRA ogranicza swoją ocenę takiego wniosku wyłącznie do tych danych osobowych.

2. 
Jeżeli FRA ogranicza, w całości lub w części, prawo dostępu, o którym mowa w art. 17 rozporządzenia (UE) 2018/1725, wówczas podejmuje następujące kroki:
a)
w odpowiedzi na wniosek informuje osobę, której dane dotyczą, o zastosowanym ograniczeniu oraz o jego głównych przyczynach, a także o możliwości wniesienia skargi za pośrednictwem Europejskiego Inspektora Ochrony Danych lub o możliwości odwołania się do Trybunału Sprawiedliwości Unii Europejskiej;
b)
sporządza notatkę z oceny wewnętrznej zawierającą przyczyny zastosowania ograniczenia, w tym ocenę konieczności, proporcjonalności ograniczenia oraz czas jego trwania.

Zgodnie z art. 25 ust. 8 rozporządzenia (UE) 2018/1725 można wstrzymać przekazanie informacji, o których mowa w lit. a), pominąć je lub odmówić go, gdyby mogło ono unieważnić skutek nałożonego ograniczenia.

FRA dokonuje przeglądu zastosowania danego ograniczenia co sześć miesięcy od jego wprowadzenia oraz w chwili zamknięcia stosownego dochodzenia. Następnie administrator co roku monitoruje konieczność utrzymania ograniczenia.

3. 
Wpis oraz, w stosownych przypadkach, leżące u jego podstaw dokumenty zawierające elementy stanu faktycznego oraz aspekty prawne uwzględnia się w rejestrze. Udostępnia się je na żądanie Europejskiego Inspektora Ochrony Danych.
Artykuł  7

Prawo do sprostowania, usunięcia i ograniczenia przetwarzania

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do sprostowania danych, ich usunięcia i ograniczenia przetwarzania może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) postępowań prowadzonych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych i zewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
Jeżeli FRA ogranicza w całości lub częściowo stosowanie prawa do sprostowania danych, ich usunięcia i ograniczenia przetwarzania, o których mowa w art. 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, wówczas podejmuje działania określone w art. 6 ust. 2 niniejszej decyzji oraz dokonuje wpisu w rejestrze zgodnie z art. 6 ust. 3 decyzji.
Artykuł  8

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych i prawo do poufności łączności elektronicznej

1. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzenia postępowań administracyjnych i dyscyplinarnych;
b)
czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
(formalnych i nieformalnych) postępowań prowadzonych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
audytów wewnętrznych i zewnętrznych;
g)
prowadzenia dochodzeń przez inspektora ochrony danych zgodnie z art. 45 ust. 2 rozporządzenia 2018/1725;
h)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
2. 
W należycie uzasadnionych przypadkach i z zastrzeżeniem warunków określonych w niniejszej decyzji, o ile jest to konieczne i stosowne, prawo do poufności łączności elektronicznej może zostać ograniczone przez administratora w kontekście następujących operacji przetwarzania danych:
a)
prowadzania postępowań administracyjnych i dyscyplinarnych;
b)
czynności związanych z przypadkami potencjalnych nieprawidłowości zgłaszanych do Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych;
c)
procedur związanych ze zgłoszeniami przypadków naruszeń przez sygnalistów;
d)
formalnych postępowań prowadzonych w przypadkach nękania;
e)
rozpatrywania wewnętrznych i zewnętrznych skarg;
f)
dochodzeń dotyczących bezpieczeństwa (informatycznego) prowadzonych wewnętrznie lub z udziałem podmiotów zewnętrznych (np. CERT-EU).
3. 
Jeżeli FRA ogranicza prawo do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych lub poufności łączności elektronicznej, o czym mowa w art. 35 i 36 rozporządzenia (UE) 2018/1725, dokonuje ona wpisu do rejestru, w którym zamieszcza przyczyny zastosowania ograniczenia zgodnie z art. 5 ust. 3 niniejszej decyzji. Zastosowanie ma art. 5 ust. 4 niniejszej decyzji.
Artykuł  9

Przepisy końcowe

Decyzja Rady Wykonawczej FRA 2019/01 ustanawiająca przepisy wewnętrzne dotyczące przekazywania informacji osobom, których dane dotyczą, oraz ograniczenia niektórych ich praw do ochrony danych przez FRA w kontekście postępowań administracyjnych, przeddyscyplinarnych, dyscyplinarnych i postępowań w sprawie zawieszenia (2019/C 108/04) zostaje niniejszym uchylona.

Artykuł  10

Wejście w życie

Niniejsza decyzja wchodzi w życie trzeciego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Wiedniu dnia 27 września 2019 r.
W imieniu Agencji Praw Podstawowych Unii Europejskiej
Sirpa RAUTIO
Przewodnicząca Rady Wykonawczej
1 Dz.U. L 295 z 21.11.2018, s. 39.

Zmiany w prawie

Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni
Prezydent podpisał ustawę o L4. Ekspert: Bez wyciągnięcia realnych konsekwencji nic się nie zmieni

Podpisana przez prezydenta Karola Nawrockiego ustawa reformująca orzecznictwo lekarskie w Zakładzie Ubezpieczeń Społecznych ma usprawnić kontrole zwolnień chorobowych i skrócić czas oczekiwania na decyzje. Jednym z kluczowych elementów zmian jest możliwość dostępu do dokumentacji medycznej w toku kontroli L4 oraz poszerzenie katalogu osób uprawnionych do orzekania. Zdaniem eksperta, sam dostęp do dokumentów niczego jeszcze nie zmieni, jeśli za stwierdzonymi nadużyciami nie pójdą realne konsekwencje.

Grażyna J. Leśniak 09.01.2026
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych
Ważne przepisy dla obywateli Ukrainy i pracodawców bez konsultacji społecznych

Konfederacja Lewiatan krytycznie ocenia niektóre przepisy projektu ustawy o wygaszeniu pomocy dla obywateli Ukrainy. Najwięcej kontrowersji budzą zapisy ograniczające uproszczoną procedurę powierzania pracy obywatelom Ukrainy oraz przewidujące wydłużenie zawieszenia biegu terminów w postępowaniach administracyjnych. W konsultacjach społecznych nad projektem nie brały udziału organizacje pracodawców.

Grażyna J. Leśniak 08.01.2026
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę
Reforma systemu orzeczniczego ZUS stała się faktem - prezydent podpisał ustawę

Usprawnienie i ujednolicenie sposobu wydawania orzeczeń przez lekarzy Zakładu Ubezpieczeń Społecznych, a także zasad kontroli zwolnień lekarskich wprowadza podpisana przez prezydenta ustawa. Nowe przepisy mają również doprowadzić do skrócenia czasu oczekiwania na orzeczenia oraz zapewnić lepsze warunki pracy lekarzy orzeczników, a to ma z kolei przyczynić się do ograniczenia braków kadrowych.

Grażyna J. Leśniak 08.01.2026
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa
RPO interweniuje w sprawie przepadku składek obywateli w ZUS. MRPiPS zapowiada zmianę prawa

Przeksięgowanie składek z tytułu na tytuł do ubezpieczeń społecznych na podstawie prawomocnej decyzji ZUS, zmiany w zakresie zwrotu składek nadpłaconych przez płatnika, w tym rozpoczęcie biegu terminu przedawnienia zwrotu nienależnie opłaconych składek dopiero od ich stwierdzenia przez ZUS - to niektóre zmiany, jakie zamierza wprowadzić Ministerstwo Rodziny, Pracy i Polityki Społecznej. Resort dostrzegł bowiem problem związany ze sprawami, w których ZUS kwestionuje tytuł do ubezpieczeń osób zgłoszonych do nich wiele lat wcześniej.

Grażyna J. Leśniak 08.01.2026
Prezydent podpisał ustawę doprecyzowującą termin wypłaty ekwiwalentu za urlop
Prezydent podpisał ustawę doprecyzowującą termin wypłaty ekwiwalentu za urlop

Uproszczenie i uporządkowanie niektórych regulacji kodeksu pracy dotyczących m.in. wykorzystania postaci elektronicznej przy wybranych czynnościach z zakresu prawa pracy oraz terminu wypłaty ekwiwalentu za niewykorzystany urlop wypoczynkowy przewiduje podpisana przez prezydenta nowelizacja kodeksu pracy oraz ustawy o zakładowym funduszu świadczeń socjalnych.

Grażyna J. Leśniak 08.01.2026
Od 7 stycznia mniej formalności budowlanych, więcej budowli bez zgłoszenia i bez pozwolenia
Od 7 stycznia mniej formalności budowlanych, więcej budowli bez zgłoszenia i bez pozwolenia

W dniu 7 stycznia wchodzi w życie nowelizacja Prawa budowlanego, która ma przyspieszyć proces budowlany i uprościć go. W wielu przypadkach zamiast pozwolenia na budowę wystarczające będzie jedynie zgłoszenie robót. Nowe przepisy wprowadzają też ułatwienia dla rolników oraz impuls dla rozwoju energetyki rozproszonej. Zmiany przewidują także większą elastyczność w przypadku nieprawidłowości po stronie inwestora.

Agnieszka Matłacz 06.01.2026
Metryka aktu
Identyfikator:

Dz.U.UE.C.2019.371.6
Rodzaj: Informacja
Tytuł: Wewnętrzne zasady dotyczące ograniczenia określonych praw osób, których dotyczą dane, w związku z przetwarzaniem danych osobowych w ramach funkcjonowania Agencji Praw Podstawowych Unii Europejskiej.
Data aktu: 04/11/2019
Data ogłoszenia: 04/11/2019
Data wejścia w życie: 07/11/2019